CISSP-安全运营
状态: 进行中
基本概念
运行安全
- 在集中式和分布式环境中处理信息资产的保护和控制
- 运营安全是其他服务的一个品质,并且它本身就是一组服务
安全运行
- 保持安全服务高效的运行所要求的安全日常事务
业务连续性计划和灾难恢复计划
TOPICS
Objectives
安全运营的基本概念
关键主题
维护运营弹性
- 关键业务有弹性,保持连续性
- 制定有应急预案
- 实时监控和响应
保护有价值的资产
- 提供各种资产的日常维护
- 保护资产不被破坏
控制系统账号
- 维护用户访问关键业务系统的控制
- 提供何种账号(尤其是特权账号)的检查和平衡,确保这些账号成为合理的业务需求
有效管理安全服务
- IT服务的变更、配置和问题管理
- 安全相关程序,如用户配资和服务台程序
- 关注报告和服务持续改进实践
运营人员的要求
负责、谨慎、明智、有能力的人
- 适度谨慎
- 采取了合理的防范保护措施
- 湿度勤勉
- 在日常管理中尽到责任
控制特权账号
- 对账号的数量和类型进行严格控制
- 小心监控系统的账号管理权限
- 服务账号
- 执行脚本的账号
- 身份和访问管理(Identity and access Management、IAM)
- 用户配置
- 管理跨多系统的访问权限
- 本地访问控制系统
- 所知必须和最小特权(互为补充)
- 所知必需
- 基于工作或业务需要被授予最小悉知范围和访问权限
- 运营安全是关键-常用于军队
- 最小特权
- 要求用户或进程没有不必要的访问特权来执行工作、任务和功能
- 目标
- 限制用户和进程只访问必要的资源和工具来完成指定任务
- 限制
- 可访问的资源
- 用户可执行的操作
- 所知必需
使用组和角色管理账号
不同类型的账号
- 特权账号
- Root或内置管理员帐号
- 用于管理设备和系统全能默认账号
- 安全控制
- 更名尽可能的严格
- 默认密码要修改
- logs记录个人使用root账号的行为
- 使用root账号登录时
- 会话应执行强加密和监控
- 使用多因子的身份验证方法
- 服务账号
- 由系统服务和核心应用所使用的特权访问
- 密码复杂并经常更换
- 有一个策略来回收和关闭已遭泄露账户
- 由系统服务和核心应用所使用的特权访问
- 管理员账号
- 这些账号被分配给需要系统特权访问来执行维任务的指定个人
- 这些账号应与用户的普通账号分开
- 账号密码应安全可靠的分发给个人
- 管理员应书面承认接受账号并遵守组织规则
- 账号不再使用应立即去除
- 所有活动应该被审计
- 部署额外的日志系统
- 多因素认证
- 超级用户
- 这些账号权限由于工作所需授予,超过普通用户权限但是不需要管理员权限的
- 超级用户可以在自己的桌面上安装软件
- 应书面承认接受账号并遵守组织规则,如签署安全协议书
- Root或内置管理员帐号
- 普通或受限用户账号
- 使用用户最多
- 基于最小权限或所知必须原则
职责分离
- 定义
- 将一个关键任务分成不同的部分,每个部分由不同的人来执行
- 防止同谋,进行欺诈需要多人共谋
- 将一个关键任务分成不同的部分,每个部分由不同的人来执行
- 目的
- 制约,减少故意破坏的几率
- 补充,减少无意的疏漏和错误的几率
- 原因
- 不同安全相关人物所需技能不同
- 将管理员任务分成多个角色以赋予不同的信任级别
- 防止安全相关功能委托一个角色或成员
- 系统管理员
- 最小特权
- 根据需要确定必要访问和应用
- 监控
- 行为被日志审计并发送到一个单独的审计系统中
- 防止欺诈行为
- 管理员如果没有勾结他人就没能力参与恶意活动
- 背景调查
- 岗位轮换
- 最小特权
- 操作员
- 工作职责
- 进行主机的日常操作,确保预定的工作有效进行和解决可能出现的问题
- 权限说明
- 操作员具有很高的权限,但低于系统管理员,这些权限可以规避系统的安全策略,应监控
- 安全控制
- 最小特权
- 监控
- 操作员的行动被记录并发送至不受操作员控制的一个独立系统中
- 职责分离
- 管理员如果没有勾结他人就没有能力参与恶意活动
- 背景调查
- 工作职责
- 安全管理员
- 作用
- 定义系统安全设置并协同管理员进行相关配置,提供一种权利制衡,为系统管理员提供审计
- 主要职责
- 账号管理
- 敏感标签的分配
- 系统安全设置
- 审计数据的评审
- 作用
- 帮助/服务台人员
- 提供一线支持
- 在需要时重置用户密码
- 进行监控和背景调查
- 普通用户
- 需要访问信息技术资源
监控特权
- 许可、实用性和背景调查
- 以下情况不应该被授予访问权限(如IDS和防火墙日志,调整市中或删除日志)
- 近期严重缺乏相关的判断力
- 有关角色的行为出现重复的高风险模式
- 角色的表现与非法活动有关
- 账户验证
- 确定现有不活动账号(离职、离岗、临时休假人员账户)
- 岗位轮换
- 减少个人之间共谋活动的风险
- 双人操作
- 现场双人监督
- 强制休假
- 强制休假,以便能识别潜在欺诈行为,并且使工作轮换成为可能
- 强制假期具有突然性,使欺诈者没有时间来演示欺诈痕迹
安全管理员与网络管理员
- 区别
- 网络管理员关注可用性及用户需要的功能和效率
- 但效率和功能常以牺牲安全为待见,注重安全常会降低效率,如采用杀毒软件扫描,部署防火墙、终端防护系统等
- 安全管理员职责
- 实现和维护安全设备和软件
- 执行安全评估
- 创建和维护用户资料、实现和维护访问控制机制
- 配置和维护强制性访问控制,环境中的标签
- 为用户设置出事口令
- 检查审计日志
可问责
- 用户访问的资源必须给予适当控制,以避免授予过多权限导致对公司及其资源造成损害
- 应当对用户访问和操作资源的行为进行监控、审计和日志记录。用户id应当包含在日志中
- 日志应当常规记录,并定期分析,可通过自动方式和人工方式相结合的手段,当超过规定门限报警时,管理员给予及时分析处置
错误警报门限
- 定义
- 应设定某种错误发生次数的门限,超过此门限后相关行为应受到怀疑或禁止
- 作用
- 设置错误警报门限的目的是使用门限值、监控和审计的方式,及时发现问题防止更大损失的发生
保证级别
操作保障
- 关注产品的体系结构、嵌入的特征和功能,在产品评估中,产品具有使 用户 持续获得所需安全的产品特性
- 操作系统保障示例:访问控制机制、特权和用户程序代码分离、审核和监视能力、隐蔽通道分析、可信恢复
生命周期保障
- 关注产品如何开发和维护,全生命周期各阶段满足标准规范
- 示例:设计规范、限制级别配置、单元和集成测试、配置管理以及可信分发
操作责任
- 操作安全目标:降低可能由非授权访问或滥用造成损失的可能性
- 管理层负责雇员的行为和职责
- 操作部门的人员负责确保系统受到保护并在预期的方法下运行
- 操作部门的目标:防止反复发生问题,将硬件和软件故障降低到可接受的级别以减少事故或破坏的影响
- 关注内容:
- 不寻常或无法解释的事件
- 偏高标准,偏离标准的安全事件
- 不定期的初始程序加载(重启)关注无故重启的设备
- 资产表示和管理,资产管理是指了解整个环境中的一切:硬件、固件、操作系统、语言运行时环境、应用程序以及不同的库;
- 系统控制:确保指令在正确的上下文中执行
- 可信恢复:确保故障和操作中断不会破坏系统安全运行所需的安全机制和规程:
- 输入和输出控制:应用程序的输入和输出有直接的关联关系,需要监控输入中的人物错误和可以行为
- 系统强化:禁用不需要的组件和服务:系统安全配置加固;
- 远程访问安全:不得以明文方式传送命令和数据,应当使用SSH而不是telenet;应该在本地而不是远程管理;只允许少数管理员执行这种远程功能应对任何管理活动实施强制身份验证
信息系统生命周期管理
- 信息生命周期包括产生、分发、使用、维护、纰漏、处置(转让、安全处理)
- 信息所有者
- 确定信息对组织使用具有的影响
- 了解信息的重置成本(如果它可以被取代)
- 决定哪个组织需要这些信息和在什么情况下应该发布这些信息
- 指导合适信息是不准确的或不再需要的,应当被销毁
- 分级和分类
- 分级关注访问
- 军队或政府信息(秘密、机密、绝密)
- 分级关注影响
- 决定信息丧失机密性、完整性或可用性
- 可使基线标准化
- 分级关注访问
- 保留计划
- 降低存储成本
- 只保存相关的信息,可加快搜索和索引
- 诉讼保留和电子披露是不太可能会遇到错误,预决策或协商信息
(SLAs)服务水平协议
- Waht
- SLA是一个描述客户从供应商获得服务水平的简单文档,展示服务测量指标、补救或如果达不到协议要求所遭受的惩罚
- 如果由于客户的原因导致SLA达不到,则不应该受到惩罚
- SLA-外部
- OLA-内部
- Why
- 确保双方理解要求
- 确保协议没有被有意或无意的曲解
- Who
- 不同级别不同的价格
- 协商的起点
- 关键部分
- service elements
- 提供具体服务
- 服务可用性状态
- 服务标准(时间窗)
- 升级程序
- 各方职责
- 费用/服务权衡
- management elements
- 测量标准和方法定义\报告流程\内容和频率\争议解决过程
- SLA保持更新
- 供应商能力和服务需求变化
- service elements
- 赔偿
- 供应商能力和服务的需求变化
- SLA不能转让
- 如何验证SLA
- statics
- 测量指标
- Service availability
- Defect Rates 不良率
- Technical Quality
- Security
- 何时评审SLA
变更管理
变更管理流程
- 请求
- 影响评估
- 审批
- 构建和测试
- 通知
- 实施
- 验证
- 记录
配置管理
目标
- 建立和维护产品、系统和项目整个生命周期的完整性
包括
- 识别软件产品的配置项
- 控制配置项及其变更
- 记录和报告配置项的状态和变更活动,同时开展审计
配置管理
- 管理组件从最初的概念到设计、实施、测试、基线、构建、发布和维护
- 使得必然发生的变更可控
- 策略和标准:
- 组件集处于配置管理的支配下
- 组件是如何命名的
- 组件是如何输入和离开控制集的
- 处于CM下的组件是如何被允许变更的
- CM下不同版本的组件是如何可用的
- 在什么情况彼此每个都能使用
- CM工具是如何启动和加强配置管理的
可信恢复
- 目的
- 可信恢复的目的是确保在故障和运作中断情况下维护系统的安全和职能功能;为了实现上述目的,系统应该加入一系列机制使其在预先定义的故障或中断发生时能够保持安全状态;
- 类型
- 系统重启:以受控方式关闭系统,重新引导前不一致的数据已得到矫正,数据结构实际上处于一致状态
- 紧急系统重启动:以非受控方式关闭系统,重启前数据仍然处于不一致状态,重启进入维护状态自动执行恢复,将系统带入到一致状态
- 系统冷启动:自动化恢复机制无法将系统带入到一致状态,由管理员人工介入将系统从维护模式恢复到一致状态;(用于挫败攻击的启动方式)
- 系统崩溃后正确步骤
- 进入到单用户或安全模式
- 修复问题并恢复文件
- 确定关键的文件和操作
- 安全关注
- 引导顺序(C、A、D)不能重新配置
- 不应避开在系统日志中写入动作
- 应该禁止系统被迫关闭
- 应禁止输入变更线路
输入输出控制
- 一个应用的输入直接影响了输出结果,因此应当监控输入存在错误或可疑的行为
- 应用程序应通过程序限定数据的类型并进行检查
- 应用系统输入控制的其他要求
- 当Activex,插件,更新配置文件,设备、驱动 准入生产环境前,应通过可信权威机构的检测
硬件安全控制
- 网络设备的物理控制措施
- 线缆锁闭防止破坏
- 大容量存储设备介质的控制
- 包括笔记本电脑、存储设备、手机甚至相机存储卡
- 工作站的安全防护措施
- 做一个硬拷贝镜像,称做Gold Master(GM)
- 应用系统的安全防护
- 关注脆弱性与修复
- 组件的安全防护
- 对组件进行恰当的配置
软件许可控制
- 仅授权软件才可安装,禁止安装盗版软件
- 使用盗版软件或超授权数量、范围安装使用lincense是要追究法律责任的
- 应采取手段监控lincense使用情况
远程访问安全
- 远程访问是组织常用的韵味方式,也是保障在灾难中得以恢复的重要手段,并可减少运维成本
- 远程访问是移动办公、出差等情况所选用的一种访问手段
- 风险
- 非授权访问、病毒恶意代码引入等
- 安全措施
- 采用VPN技术进行网络安全接入
- 数据加密传输,即使使用了VPN技术
- 采取强认证措施
- 关键设备本地管理,而非远程管理
- 限制远程访问的管理员数量到最小化
The CMMI steps for CM
- 识别将要至于配置管理下的配置项、组件及其相关工作
- 建立和维持配置管理和变更管理系统来控制工作产品
- 建立和发布内部使用基线以及交付给客户的基线
- 追踪配置项变更请求
- 控制配置项内容变更
- 建立和维持描述配置项的记录
- 执行配置审计来维持配置项的完整性
资产清单
- 硬件库
- 品牌
- 型号
- mac地址
- 序列号
- 操作系统、固件版本
- 位置
- BIOS和其他硬件密码
- 可以的话标记IP
- 组织资产管理的标签或条形码
- 软件库
- 软件名
- 密码或激活码
- lincense类型和版本
- lincense数量
- 剩余数量
- 。。。
- 硬件库和软件库的安全作用
- 安全专家能迅速找到和减少硬件类型和版本相关的漏洞
- 知道网络中的硬件类型和位置能降低受影响设备的工作量
- 可以经扫描发现网络中未经授权的设备
- 维护配置清单
- 记录和追踪配置的变更能提供网络完整性和可用性的保障
- 定期检查确保非授权变更
CM适用于不同类别的资产类型
- 物理资产-服务器、笔记本智能手机
- 虚拟资产-软件定义网络SDNS,虚拟存储区域VSAN
- 云资产-服务、存储网络
- 应用-web服务、Saas平台
云资产供给
- Iaas(基础设施即服务)
- 供给受限于非云物理设备的性能,如路由器、服务器实机,他们的性能常会影响大量用户
- 因此,这些非云物理设备的变更应格外慎重
- Paas(平台即服务)
- 要确保能访问该平台服务的开发人员范围是受控的
- SaaS(软件即服务)
- 灵活的配置软件即平台的资源访问,达到安全高效的目的,最佳方式是就近自主获取资源
补丁和漏洞管理
补丁管理的目的
- 建立持续配置环境,保护操作系统和应用的已知漏洞
- 很多时候厂商升级版本时不给出升级的原因和理由
补丁管理考虑的风险因素
- 是否通过管理层批准
- 是否遵从配置管理策略
- 是否考虑带宽利用率
- 是否考虑服务可用性
补丁集中管理
- 是补丁管理的最佳实践
- 分类
- 基于代理
- 在每个设备上都安装了一个更新代理
- 该代理与一个或多个更新服务器进行通信
- 并将可用补丁与本地主机上的软件和版本进行比较,根据需要进行更新
- 无代理
- 有一个或多个主机,使用管理凭据远程连接到网络上的每个设备,并检查所需要的更新的远程设备
- 被动方式
- 被动监视网络流量,推断每个网络应用或服务的补丁级别
- 对终端影响最小
- 并不总是能够唯一识别软件版本
- 基于代理
- 虚拟化技术使你更容易建立补丁测试实验室
- 一些措施可以减轻软件漏洞的影响,例如防火墙、IDS等,给我们预留测试补丁的时间
- 逆向工程补丁
- 应对0DAY供给
- 通过逆向工程供应商可以推出软件补丁
- 通过逆向工程使黑客更易开发最新的漏洞
- 取决于即黑客用于供应商应用逆向工程的速度
补丁管理的步骤
- 安全专家需要判断是否是漏洞
- 是否需要升级补丁
- 基于风险决策
- 补丁的重要程度
- 管理层和系统属主来确定是否更新补丁
- 是否会影响业务
- 更新补丁已经被测试以及残余风险被解决
- 安全更新
- 部署前通知用户
- 在夜间或周末更新
- 部署前备份服务器
- 更新完成后需要在生产环境中验证
- 可能会产生一些不可见问题
- 部署完成后确保所有适当的机器都被修改
- 记录所有变更
安全和补丁信息管理
- 关键部分
- 补丁管理是要知道关于安全问题和补丁发布两者的信息
- 知道与他们环境有关的安全问题和软件更新
- 建议专人和团队负责提醒管理员和用户的安全问题或应用的更新
- 补丁优先级和作业安排
- 补丁生命周期,知道补丁的正常使用和系统的更新
- 作业计划处理关键安全和功能补丁和更新
补丁测试
- 补丁测试的广度和深度
- 补丁测试流程开始于软件更新的获取和在生产部署后连续通过可接受性测试
- 补丁获取时需要进行验证
- 来源校验
- 完整性校验
- 补丁校验完成后进行测试
- 测试环境经可能的接近生产环境
- 可以用生产环境的自系统作为测试环境
补丁变更管理
- 变更对补丁管理的每一步都非常重要
- 修补应用程序包含应急和回退计划
- 在变更管理方案中包含风险降低策略
- 变更管理方案中包含监控和可接受计划
- 证明补丁成功具体里程碑和可接受标准
- 允许关闭变更系统中更新
补丁安装和部署
- 补丁管理的部署阶段必须具有良好经验的管理员和工程师
- 安全和部署意味着生产系统的补丁和更新会真实实施
- 影响补丁部署的技术因素是工具的选择
- 工具选择
- 购买
- 自建
- 工具类型
- agent-based
- agentless systems
- 工具选择
- 部署安全补丁
- 及时完成
- 可控和可预期
补丁审计和评估
- 常规审计和评估能衡量补丁管理成功和程度
- 两个问题
- 对于任何一支漏洞或bug什么系统需要修补
- 系统是否更新真实的补丁
- 关键成功因素
- 资产和主机管理
- 理想主机管理关键能生成报告
- 管理工具
- 资产和主机管理
- 系统发现和审计作为审计和评估流程的部分
一致性和复合性
- 补丁管理方案中的审计和评估元素能帮助识别系统不符合组织指南或其他减少不符合的工作
- 系统生成工具和指南在安装时确保符合补丁要求主要执行手段
- 补丁管理技术非常重要,但不能仅靠技术
- 补丁管理方案是团队技术提供基于协作解决组织独特要求的方针和运维的解决方案
漏洞管理系统
- 配置管理
- 帮助组织知道其所有部分
- 脆弱性扫描
- 识别这些弱点
- 漏洞类型
- 系统缺陷
- 配置错误
- 策略错误
- 基于主机的扫描
- 应用安全扫描
- 数据库安全扫描
- 发现配置错误配置
事件管理
事件管理(快速恢复)
- 包含人、技术和流程
- 指导所有与事件有关的活动并知道安全人员到一个预定义和预授权路径的解决方案
- 描述在事件中所包含的各方的角色和职责中所采取的活动
- 管理安全技术
- 边界控制
- 更可信和不可信环境之间的划分
- 防火墙、路由器、代理和其他技术
- 单个系统
- 安全运营关注确保技术能够有效运行,并持续监控其有效性
- 边界控制
安全测量指标和报告
监测
- 入侵检测预防与系统
- 用来识别和应对实时或近实时的可以安全相关事件
- 基于网络流量分析
- 基于单个系统的审计日志和流程
- IDS
- IPS
- 模式匹配或签名分析
- 基于异常协议的入侵检测系统
- 基于统计异常的入侵检测系统
- 误报
- 漏报
- 防恶意软件系统
- 部署在单个主机和系统上
- UTM 安全网关
- 持续更新病毒库
- 通过监控来确保防病毒系统始终存活和有效
- 部署介质和邮件附件自动扫描策略
- 扫描应给定期安排和实施
- SEIM 安全信息事件管理系统(日志的综合解决方案)
- 系统日志的缺点是只能提供单个系统的视角,不能提供相关事件的涉及多个系统的日志和信息
- 提供一个公共平台,用于日志收集、整理、实时分析
- 提供使用来自多信息源并关于历史事件的报告
- 日志管理系统是类似的
- 结合SEIM解决方案
- 提供实时分析
- 维护严格的日志存储和归档纪律
- 当今的报告工具可以将安全事件信息转换为有用的业务职能
响应
- 遏制策略(例:从网络中切断病毒源、控制受感染的主机)
- 以合法行为来保存法庭证据
- 提供受影响的组件,保持服务的可用心
- 替代受影响组件,避免可能造成的潜在损害
- 需要时间来实施有效的遏制策略
- 需要资源来遏制受影响的组件
- 延迟遏制策略导致更深的影响
- 起始事件以及相关信息应尽可能多的被记录
- 越来越多的信息应该汇聚到一起,直到该事件被安全运营团队认为是解决了
报告
- 政策和程序必须定义
- 媒体或组织的外部事务组需要参与吗?
- 组织的法律团队需要参与评审吗?
- 该事件在什么时间点应该上升到一线管理人,并通知中层管理人
- 高层管理人?董事?股东的董事会?
- 保护事件信息的保密性要求是什么?
- 用于报告的方法是什么?如果电子邮件系统被攻击,那么如何启动报告和通知程序
恢复
- 恢复计算机映像到无损失
- 恢复的第一步是根除
- 根除是消除威胁的过程(如果一个系统感染了病毒而无法正常工作,那么彻底杀毒将根除这一问题)
- 将系统恢复或修复到一个已知的良好状态
- 如果最后已知的映像或状态包含有实际造成事件的原因,那么恢复变得非常复杂,这种情况下,新的映像应该生成,并在应用移入生产环境前进行测试
- 恢复控制
修复和审查(经验教训)
- 事件响应最重要的是总结经验教训
- (RCA)根本原因分析
- 逆向工作来决定事件发生的原因,层层向前推演,直到发现根源
- 可迅速跨越技术、文化和组织之间的边界界限
- 根源分析被管理层评审,决定是否采纳和执行
- 问题管理
- 事件管理
- 管理不良事件
- 限制一个事件的影响
- 问题管理
- 跟踪事件回到事件根源和解决的根本问题
- 关于解决缺陷,使得该事件可能成功或更成功
- 需要更长时间
- 事件管理
- 安全审计和评审-缓解前兆
调查
名词解释
- 数字调查
- AAFS 美国法庭科学技术学会
- DFRWS 数字法医学研讨会
- 取证指南
- 识别证据
- 搜集或获取证据
- 检查或分析证据
- 展示证据
犯罪场景
- 形式原则
- 确定现场
- 保护环境
- 确定证据和证据的潜在来源
- 收集证据
- 降低污染度
- 环境
- 物理环境
- 服务器、工作站、笔记本、智能手机
- 处理相对简单
- 虚拟环境
- 很难确定证据真正的位置或获取证据
- 动态证据
- 数据存在于动态的运行环境中
- 物理环境
- 动机、机会和方式MOM
- 动机
- 谁,为什么
- 机会
- 何时,何地
- 方式
- 罪犯需要获得成功的能力
- 动机
- 计算机犯罪行为
- 惯用手法MO
- 罪犯使用不同的操作手法进行犯罪,这可以用于帮助标识各类犯罪
- 罗卡交换定律
- 认定罪犯在带走一些东西的时候会遗留下一些东西
- 惯用手法MO
- General Guidelines G8
- 当处理数据证据时,必须应用所有通用取证和程序原则
- 抓取证据的行为不能改变证据
- 当人员有必要访问原始数字证据时,这个人需要以此为目的进行培训
- 所有与数字取证的扣押、访问、存储或传输有关的活动必须被完全记录,保留并在评审检查时可用
- 当数字证据在某人身上时某人必须为所有关于数字证据的活动负责
- 任何负责抓取、访问、存储和传输数字证据的机构对符合这些原则负责
事件处理的策略、角色和职责
- 策略必须清晰、简明、并对事件响应/处理团队授权来处理任意和所有的事件
- 配备人员并经过良好培训的事件响应团队
- 虚拟团队
- 专职团队
- 混合模式团队
- 外包资源
- 响应团队的核心领域
- 图案对建立好需要培训并保持最新的培训,需要耗费极大的资源
- 小心处理公共消息披露